我注意到我的 AD 域中存在非常奇怪的行为。
我们的密码策略强制用户每 3 个月更改一次密码。
我在我的 AD 中运行了这个 LDAP 查询:
(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=65536)(!userAccountControl:1.2.840.113556.1.4.803:=2)(pwdLastSet<=130256028164025203))
它搜索没有启用“密码永不过期”的用户,并且上次更改密码的时间是在 2013 年 9 月 7 日(大约 4 个月前)之前。
此次查询发现数百名用户已经 4 个月多没有更改密码了。
我也查看了msDS-UserPasswordExpiryTimeComputed属性,它被设置为“从不”(当然,仅限于来自查询的用户)。
在这里写的时候,我还注意到这个用户没有获得任何密码策略(msDS-PSOApplied 属性为空),即使他们与其他没有问题的用户遵循相同的策略。
那么,底线是为什么他们没有任何密码策略,而其他用户(在同一个 OU、同一个组等中)却有?
答案1
尤里卡!
几年前创建 PSO 时,有人将其设置为仅适用于某些组,而不是应用于域用户组。
因此,一些用户从未获得该政策,因为他们属于 PSO 之后很久才创建的群组。